Er du klar til Storbritanniens nye IoT-sikkerhedslov?
Indholdsfortegnelse:
Det britiske marked for tilsluttede teknologier er blevet oversvømmet med usikre kits i årevis. Det er dårlige nyheder for forbrugere og virksomheder, da kompromitterede enheder kan bruges til at lancere angreb mod begge, samtidig med at markedets tillid til ny teknologi undermineres. Med den gennemsnitlige brite nu adgang mere end ni tilsluttede enheder, har regeringen for sent indført lovgivning for at forbedre grundlæggende sikkerhedsstandarder. Den trådte i kraft i december 2023.
Selvom det ikke er perfekt Lov om produktsikkerhed og telekommunikationsinfrastruktur (PSTI) 2022 lover at blive starten på en mere stringent overholdelsesordning for producenter, distributører og importører af smarte produkter.
Hvorfor har vi brug for PSTI-loven?
IoT-risikoen begyndte ikke med Mirai, men det var den første store trussel, der blotlagde de sårbarheder, der ligger i forbundet teknologier. Trusselaktører brugte den eponyme malware til at søge efter tilsluttede IoT-enheder, der stadig brugte standardbrugernavnet og -adgangskoden, de forlod fabrikken med. Det ville derefter logge ind på dem for at fjernkapre endepunkterne for at bygge et botnet til DDoS, kliksvindel, spamkampagner og andre trusler.
Et andet almindeligt problem i både virksomheds- og forbrugerkvalitets IoT-sæt er sårbarheder i selve firmwaren, som kunne udnyttes af trusselsaktører. En nylig undersøgelse foretaget af IoT Security Foundation (IoTSF) fandt det kun 27 % af 332 vurderede IoT-producenter kører endda programmer til afsløring af sårbarheder. Berørte produkter kan variere fra netværksroutere til medicinsk udstyr og DVR'er til babyalarmer.
Hvad står der i PSTI-loven?
Det er her, PSTI-loven kommer ind i billedet. Det er faktisk to stykker lovgivning i ét, men det er den første halvdel, om "produktsikkerhed", som vi er interesserede i. Målet er enkelt: at lave IoT i forbrugerkvalitet sæt, der sælges i Storbritannien, sikrere som standard. Det pålægger producenter, distributører og importører at følge strenge regler for IoT-produkter. Medtagelsen af de to sidstnævnte enheder har til formål at sikre, at organisationer ikke blot kan omgå reglerne ved at importere usikre produkter fra lande udenfor.
Så hvad kræver det? Med udgangspunkt i ETSI EN 303 645 (5.1 til 5.3) standarden og, for sikkerhedsrapportering, ISO/IEC 29147, er der tre nøgleelementer:
Adgangskoder:
Skal være unikt for hvert produkt eller defineret af brugeren. Fabriksbestemte adgangskoder må ikke være lette at gætte eller opregne.
Afsløring af sårbarhed:
Der skal være mindst ét kontaktpunkt hos producenten/distributøren/importøren, og når de modtager en sikkerhedsrapport, skal de anerkende den og sende opdateringer, indtil en løsning er opnået.
Minimum sikkerhedsopdateringsperiode:
Der skal offentliggøres oplysninger om opdateringsperioden. Der er ikke et angivet minimum, kun at det skal offentliggøres. Der står også, at perioden ikke kan forkortes, men den kan forlænges.
IoTSFs administrerende direktør John Moor fortæller til ISMS.online, at disse krav er delvist tekniske og delvist procesbaserede.
”Producenter bliver nødt til at designe produkter, der har unikke og stærke adgangskoder 'ud af boksen', og brugerne skal kunne ændre disse. Dette har klare konsekvenser for, hvordan produkter designes. Det andet krav er et forsøg på at sikre, at sikkerheden opretholdes – at kendte sårbarheder kan rettes i felten eller, i ekstreme situationer, tilbagekaldes. Det betyder, at alle virksomheder skal have en proces, hvor 'forskere' eller lægpersoner kan kontakte leverandøren og rapportere sikkerhedsproblemer,” tilføjer han.
”Det tredje krav er at informere forbrugeren om, hvad der kan forventes af sikkerhedsvedligeholdelse – det har også en betydning for designfasen – hvordan aktiveres sikkerhedsopdateringer? Hvad er processen for masseopdateringer?"
Organisationer, der overtræder loven, kan idømmes bøder på op til £10 mio. eller 4 % af deres globale årlige omsætning, alt efter hvad der er højest. PSTI-loven giver også udenrigsministeren beføjelse til at udstede meddelelser om stop og tilbagekaldelse.
Hvordan stemmer det overens med det europæiske regime?
Den tilsvarende ordning i EU er Lov om cyberresiliens (CRA), som stadig arbejder sig gennem blokkens lovgivende institutioner. Det ser ud til at sætte en højere bjælke når det kommer til IoT-sikkerhed, produceres mandat IoT-produkter med en sikker-ved-default-konfiguration uden udnyttelige sårbarheder og har passende godkendelsesmekanismer samt datakryptering, hvis det er relevant. Risiko- og overensstemmelsesvurderinger vil også være påkrævet, mens de ikke er i Storbritannien.
For de organisationer, der opererer i Storbritannien og EU, burde overholdelse ikke være svært, så længe de holder sig til det mere stringente EU-regime.
"Heldigvis har der været en løbende dialog med britiske myndigheder og deres respektive modparter i EU. Så vidt vi ved, vil virksomheder være i stand til at tilpasse UK- og EU-kravene uden væsentlige omkostninger,” siger Moor.
"Bedage 4 angiver den mindste mængde information, der skal angives i en overensstemmelseserklæring. Fabrikanter skal levere et minimum af oplysninger om deres overensstemmelseserklæring og en underskrift for at gøre overensstemmelseserklæringen officiel. En kopi af erklæringen skal opbevares i mindst 10 år."
Den britiske PSTI-lov træder i kraft i april 2024, mens CRA sandsynligvis ikke vil lande før slutningen af 2025, hvilket betyder, at producenter og importører har mere tid til at forberede sig, fortæller Bridewells hovedkonsulent Alan Blackwell til ISMS.online.
Går det langt nok?
Der er stadig en vis debat om, hvorvidt PSTI-loven er en forpasset mulighed for at indføre en højere bar for IoT-sikkerhed. Blackwell forklarer, at den trækker fra både ETSI EN 303 645 og en UK Code of Practice for Consumer IoT Security, som blev offentliggjort tilbage i 2018.
"Men kun de tre øverste [ETSI]-krav, ud af i alt 13, er kommet med i den første version af reglerne. For eksempel er en af de nuværende udeladelser behovet for at levere sikker kommunikation over internettet,” tilføjer han. "Med tiden håber vi at se loven bygge på de første tre krav til at inkludere nogle flere fra UK Code of Practice og ETSI."
IoTSF's Moor er enig og beskriver loven som et "nødvendigt første skridt", som vil give et grundlag at bygge videre på.
"Regulering er en fin balancegang mellem at nå sine erklærede mål og undgå utilsigtede konsekvenser - i dette tilfælde ikke at kvæle innovation," argumenterer han. "Den tilgang, den britiske regering har gjort, er fornuftig - den sætter et minimumsniveau af krav og vil udvikle disse over tid efter behov."
Bridewells Blackwell hævder, at håndhævelse af loven i sidste ende vil afgøre, hvor effektiv den er til at forbedre basissikkerheden i branchen.
"Vi forventer, at reguleringen starter med en let berøring til at begynde med, mens producenter, distributører og importører får styr på sig selv. Men traditionelt ser vi med den slags cybersikkerhedsforskrifter, at håndhævelsestiltag fra tilsynsmyndigheden begynder at stige efter et par år,” slutter han.
Alligevel, med PSTI-loven, der nu er i kraft, bør organisationer ikke spilde nogen tid på at foretage de nødvendige tekniske og procesmæssige ændringer, der er nødvendige for at overholde.
